Active Directory.pdf - Gattner

16 Kapitel 1: Neuerungen in Active Directory für Windows Server 2008
Die AD RMS erweitern die Sicherheitslösung dergestalt, dass dauerhaft geltende Nutzungsrichtlinien
einbezogen werden, die dem Schutz vertraulicher Daten, z.B. Textverarbeitungsdateien, Kundendaten,
E-Mail-Nachrichten und Finanzdaten, dienen. Die Sicherheitseinschränkungen für eine
bestimmte Datei gelten für das jeweilige Dokument unabhängig von seinem Speicherort und werden
nicht dem Container zugewiesen, in dem es gespeichert ist (im Gegensatz zu Zugriffssteuerungslisten).
Mithilfe der AD RMS können Netzwerkbenutzer die Fähigkeit zum Kopieren, Drucken und Weiterleiten
vertraulicher Daten einschränken. Dadurch können Sie persönliche E-Mail-Nachrichten so senden,
dass der Empfänger die Nachricht öffnen und lesen, aber nicht ausschneiden, kopieren oder an
andere Empfänger weiterleiten kann (einschließlich aller Anlagen in der Nachricht). Vertrauliche Firmenkommunikation
bleibt dadurch vertraulich, dass E-Mail-Empfänger am Weiterleiten von durch
Rechte geschützter Informationen gehindert werden. Die AD RMS können auch das Kopieren von
Berechtigungen unterliegenden Daten und deren Einfügung in nicht eingeschränkte E-Mail-Nachrichten
oder Dokumente verhindern.
Die AD RMS unter Windows Server 2008 weisen verschiedene Verbesserungen gegenüber Windows
Rights Management Services (RMS) auf, welche die Verwaltung des Dienstes optimieren und seinen
Geltungsbereich über die Grenzen des Unternehmens ausdehnen. Die folgenden Features sind neu:
• Verbesserte Installations- und Verwaltungsumgebung Die AD RMS gehören zum Funktionsumfang
von Windows Server 2008 und werden als Serverrolle implementiert. Die früheren Versionen der
RMS mussten aus dem Microsoft Download Center heruntergeladen und anschließend installiert
werden. Außerdem erfolgt die Verwaltung der AD RMS nun über ein MMC-Snap-In, das wesentlich
benutzerfreundlicher als die Weboberfläche der früheren RMS-Versionen ist. Ferner werden
in der AD RMS-Konsole dank Definition der AD RMS-Verwaltungsrollen nur die Teile der Konsole
angezeigt, auf die der Benutzer zugreifen darf. Ein Benutzer, der beispielsweise zur Verwaltungsrolle
AD RMS-Vorlagenadministratoren gehört, ist auf Aufgaben beschränkt, die sich
spezifisch auf Vorlagen beziehen. Alle anderen Verwaltungsaufgaben werden in der AD RMS-
Konsole nicht angezeigt.
• Selbstregistrierung des AD RMS-Clusters Der AD RMS-Cluster kann sich selbst registrieren, ohne
eine Verbindung zum Microsoft-Registrierungsdienst herstellen zu müssen. Durch die Verwendung
eines Selbstregistrierungszertifikats für den Server erfolgt der Registrierungsprozess ausschließlich
auf dem lokalen Computer. Dieses neue Feature hebt die Funktionsabhängigkeit vom
Registrierungsdienst auf und ermöglicht den AD RMS ferner, in einem Netzwerk ausgeführt zu
werden, das gänzlich vom Internet isoliert ist.
• Integration mit den Active Directory-Verbunddiensten (AD FS) Die AD RMS und AD FS wurden so
integriert, dass Unternehmen nun vorhandene Verbundbeziehungen nutzen können, um mit externen
Partnern zusammenzuarbeiten. In früheren Versionen der RMS waren die Optionen für die
externe Zusammenarbeit an durch Rechte geschützten Inhalten auf Windows Live ID (früher
Microsoft Passport) beschränkt. Dank der Integration der AD FS mit den AD RMS können Verbundidentitäten
zwischen Unternehmen eingerichtet und durch Rechte geschützte Inhalte gemeinsam
genutzt werden, ohne dass die AD RMS in beiden Unternehmen bereitgestellt sein müssen.
• Neue AD RMS-Verwaltungsrollen Die Möglichkeit der Delegierung der AD RMS an verschiedene
Administratoren wird in allen Unternehmensumgebungen benötigt und von den AD RMS in dieser
Version geboten. Drei Verwaltungsrollen stehen zur Verfügung: AD RMS-Organisationsadministratoren,
AD RMS-Vorlagenadministratoren und AD RMS-Prüfer. Die neuen AD RMS-
Verwaltungsrollen ermöglichen das Delegieren von AD RMS-Aufgaben, ohne den Vollzugriff auf
den gesamten AD RMS-Cluster gewähren zu müssen.